Intune 中 iOS/iPadOS 的设备符合性设置

本文列出并介绍了可以在 Intune 中的 iOS/iPadOS 设备上配置的不同符合性设置。 作为移动设备管理 (MDM) 解决方案的一部分，请使用这些设置来要求发送电子邮件、将 rooted (越狱) 设备标记为不合规、设置允许的威胁级别、将密码设置为过期等。

此功能适用于：

• iOS/iPadOS

作为 Intune 管理员，使用这些符合性设置来帮助保护组织资源。

开始之前

• 若要详细了解合规性策略及其用途，请参阅 设备合规性入门。
• 若要创建 iOS/iPadOS 设备符合性策略，请参阅 在 Microsoft Intune 中创建符合性策略。 对于“平台”，请选择“iOS/iPadOS”。

电子邮件

• 无法在设备上设置电子邮件

  • 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
  • 必需 - 需要托管电子邮件帐户。 如果用户已在设备上拥有电子邮件帐户，则必须删除电子邮件帐户，以便 Intune 可以正确设置一个帐户。 如果设备上不存在电子邮件帐户，用户应联系 IT 管理员以配置托管电子邮件帐户。

  在以下情况下，设备被视为不符合要求：

  • 电子邮件配置文件分配给与合规性策略所面向的用户组不同的用户组。
  • 用户已在设备上设置了一个与部署到设备的 Intune 电子邮件配置文件匹配的电子邮件帐户。 Intune 无法覆盖用户配置的配置文件，Intune 无法对其进行管理。 为了符合要求，最终用户必须删除现有电子邮件设置。 然后，Intune 可以安装托管电子邮件配置文件。

有关电子邮件配置文件的详细信息，请参阅 使用 Intune 使用电子邮件配置文件配置对组织电子邮件的访问。

设备运行状况

• 已破解的设备
  支持 iOS 8.0 及更高版本

  • 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
  • 阻止 - 将已越狱 () 设备标记为不符合。

• 要求设备不高于设备威胁级别
  支持 iOS 8.0 及更高版本

  使用此设置将风险评估作为符合性的条件。 选择允许的威胁级别：

  • 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
  • 安全 - 此选项是最安全的，意味着设备不能有任何威胁。 具有任何威胁级别的设备被评估为不符合要求。
  • 低 - 如果仅存在低级别威胁，则设备被评估为符合性。 低级以上的任意威胁都将使设备不合规。
  • 中 - 如果设备上存在的威胁级别为低级或中等级别，则设备被评估为符合性。 具有高级威胁的设备被视为不符合要求。
  • 高 - 此选项是最不安全的，因为它允许所有威胁级别。 当仅将此解决方案用于报告时，它可能很有用。

设备属性

操作系统版本

• 最低操作系统版本
  支持 iOS 8.0 及更高版本

  不符合最低 OS 版本要求的设备被视为不符合要求。 用户可以查看包含有关如何升级的信息的链接，并可以选择升级其设备。 之后，他们可以访问组织资源。

• 最高操作系统版本
  支持 iOS 8.0 及更高版本

  当设备使用的 OS 版本高于规则中的版本时，将阻止对组织资源的访问。 要求最终用户联系其 IT 管理员。 在规则更改以允许 OS 版本之前，设备无法访问组织资源。

• 最低操作系统内部版本
  支持 iOS 8.0 及更高版本

  当 Apple 发布安全更新时，内部版本号通常会更新，而不是操作系统版本。 使用此功能指定设备上允许的最小内部版本号。 对于 Apple 快速安全响应更新，请输入补充内部版本，例如 20E772520a。

• 最大 OS 内部版本
  支持 iOS 8.0 及更高版本

  当 Apple 发布安全更新时，内部版本号通常会更新，而不是操作系统版本。 使用此功能输入设备上允许的最大内部版本号。 对于 Apple 快速安全响应更新，请输入补充内部版本，例如 20E772520a。

Microsoft Defender for Endpoint

• 要求设备不超过计算机风险评分

  选择由 Microsoft Defender for Endpoint 评估的设备允许的最大计算机风险分数。 超过此分数的设备将被标记为不符合。

  • 未配置 (默认)
  • Clear
  • 低
  • 中
  • High

系统安全

Password

注意

将符合性或配置策略应用于 iOS/iPadOS 设备后，系统会提示用户每 15 分钟设置一次密码。 在设置密码之前，系统会不断提示用户。 为 iOS/iPadOS 设备设置密码后，加密过程会自动启动。 在禁用密码之前，设备将保持加密状态。

• 需要密码才可解锁移动设备

  • 未配置 (默认) - 不会评估此设置是否符合性或不符合性。
  • 需要 - 用户必须输入密码才能访问其设备。 使用密码的 iOS/iPadOS 设备已加密。

• 简单密码
  支持 iOS 8.0 及更高版本

  • 未配置 (默认) - 用户可以创建简单密码，例如 1234 或 1111。
  • 阻止 - 用户无法创建简单密码，例如 1234 或 1111。

• 最短密码长度
  支持 iOS 8.0 及更高版本

  输入密码必须具有的最小位数或字符数。

• 所需密码类型
  支持 iOS 8.0 及更高版本

  选择密码是否应仅包含 数字 字符，或者是否应混合使用数字和其他字符 (字母数字) 。

• 密码中的非字母数字字符数
  输入密码中必须包含的最小特殊字符数，例如 &#%!、 等。

  设置更高的数字需要用户创建更复杂的密码。

• 屏幕锁定后要求输入密码前的最大分钟数
  支持 iOS 8.0 及更高版本

  指定屏幕锁定后，用户必须输入密码才能访问设备。 选项包括默认值 “未配置”、“ 立即”和 “1 分钟 到 4 小时”。

• 最长经过多少分钟的非活动状态后锁定屏幕
  输入设备锁定屏幕之前的空闲时间。 选项包括默认值 “未配置”、“ 立即”和 “1 分钟 到 15 分钟”。

• 密码过期(天数)
  支持 iOS 8.0 及更高版本

  选择密码过期前的天数，并且必须创建一个新密码。

• 阻止重用的曾用密码数
  支持 iOS 8.0 及更高版本

  输入以前使用过的不能使用的密码数。

设备安全性

• 受限应用
  可以通过将应用捆绑 ID 添加到策略来限制应用。 如果设备已安装应用，则设备将标记为不符合。

  • 应用名称 - 输入用户友好名称，以帮助标识捆绑包 ID。

  • 应用捆绑包 ID - 输入由应用提供程序分配的唯一捆绑包标识符。

    若要获取应用捆绑包 ID，请执行以下操作：

    • 苹果的网站有一个 苹果内置应用列表。
    • 对于添加到 Intune 的应用， 可以使用 Intune 管理中心。
    • 有关一些示例，请转到 内置 iOS/iPadOS 应用的捆绑 ID。

  注意

  “受限应用”设置适用于在管理上下文外部安装的非托管应用程序。

后续步骤

• 为不符合要求的设备添加操作， 并使用范围标记筛选策略。
• 监视合规性策略。
• 请参阅 macOS 设备的符合性策略设置 。